IPv4向IPv6过度的互联网环境浅析.doc

IPv4向IPv6过度的互联网环境浅析西安铁路职业技术学院毕业设计摘 要下一代网络将是数据业务和移动业务充分融合的产物，并在这个融合的基础上日益完善，形成承载网以IPv6为演进方向，业务网以NGN/IMS为业务平台，提供无处不在的、多元接入方式的、无缝移动的业务。在这个发展趋势下，移动IPv6作为网络层切换的优选解决方案，可以有效保障无缝漫游的业务属性有望得到规模应用。整个业界没有任何人否认移动IPv6是一项优秀的技术，但能否取得规模应用不只取决于技术自身的优略，首先还需要IPv6网络的部署、IPv6业务的普及应用以及成熟的业务环境的支撑。下一代互联网的协议早已制定，可是距离实际的应用还有很长的路要走。这主要是因为，一方面现在的互联网上应用十分丰富，投入到一个新的网络中，重新开始无疑是非常艰难的；另一方面下一代互联网上业务还没有完全成熟，在下一代互联网的环境中进行业务的部署还需要在实践中探素。可是，互联网上地址空间日渐匮乏，最终将阻碍互联网的发展，过渡到下一代互联网是发展的必然，我国在下一代互联网的实践中处于较为领先的地位。下面对国外与我国下一代互联网试验网进行简要的介绍。移动IP是在IP网络上提供移动功能的解决方案，该协议设计的初衷是在网络层提供主机的移动性，使得主机在IP网络上的移动对于高层协议保持透明。移动IP一经推出，就被3G标准技术框架所采纳，并随着3G网络的部署得到了推广。从IPv4到IPv6，移动IP技术自身发生了革命性的变化，解决了诸多问题。其次，IPv6协议具备的新特性，如“地址自动配置”、“邻居发现”等，为主机移动提供了更好的支持。另外，IPv6简化了重组的步骤，对未来Internet移动性也有极大的促进。在提供接入服务时，运营商应积极推动IPv6接入业务。目前中国电信的CN2骨干网上已经全面支持IPv6协议，在今后的城域网和用户接入网的部署和改造过程中，也将逐步过渡到IPv6。尽早地开展IPv6宽带接入业务，可以积累运营经验。利用IPv6的海量地址、内置安全协议和移动性的特点，开展基于IPv6的企业应用和家庭网络应用。 关键字：互联网；移动IP；3G网络；IPv6宽带- I -目 录摘 要I引 言11 下一代互联网业务发展趋势21.1 NGI未来业务分析21.1.1 宽带接入类业务21.1.2 语音类业务21.1.3 视频类业务31.1.4 安全类业务31.1.5 消息类业务41.1.6 远程控制类业务41.2 IPv6时代业务运营模式分析41.2.1 基于IPv6的宽带接入业务41.2.2 基于移动IPv6的业务51.2.3 基于IPv6IPSec的远程接入业务61.2.4 基于IPv6IPsec的安全VPN业务71.2.5 基于IPv6差分服务的triple-play业务72 国内外下一代互联网试验网浅析92.1 国外下一代互联网试验网的状况92.2 全球性的试验网6BONE92.3 欧洲下一代互联网试验网102.4 日韩下一代互联网试验网102.5 美国的下一代互联网试验网112.6 我国下一代互联网试验网113 移动IPv6安全及发展前景分析143.1 安全问题分析153.1.1 拒绝服务攻击153.1.2 重放攻击153.1.3 信息窃取153.2 安全机制探讨163.2.1 移动节点和家乡代理间的安全163.2.2 移动节点和通信节点间的安全163.3 移动IPv6前景展望17结 论19致 谢20参考文献21-19-引 言目前我国下一代网络技术与设备已经初步成熟。根据国家的总体安排，基于IPv6技术的CNGI网络已经开始部署。网络建成后，如何为用户提供业务应用，创造更多新的价值，是业界关注的重点，也是NGI/CNGI能否取得商业运作成功的关键。结合IPv6的技术特点，分析了下一代互联网的业务种类及其发展趋势，并对运营商在整个产业链中如何更好地发挥自身优势，从深度和广度上拓展增值业务提出了一些建议。1 下一代互联网业务发展趋势1.1 NGI未来业务分析作为下一代网络的重要组成部分，NGI究竟能有多大作为，还要看基于NGI运作哪些业务，这些业务是否具有广阔的市场前景。对于运营商来说，应充分利用自身的技术、网络和渠道优势，努力为客户提供方便、高质、富于个性化的信息服务。这不仅是技术转化为生产力的必由之道，也是电信运营商的经营之本。1.1.1 宽带接入类业务NGI的一个显著特点就是高带宽。目前传统的固网话音业务一方面由于普及率达到一定的饱和度，另一方面由于受到移动业务的分流，业务发展呈现下滑的趋势。为了保持企业的持续健康发展，运营商必须寻求新的业务增长点，而宽带业务正好契合了这一需求。目前宽带接入技术丰富，但是发展比较好且应用规模较大的主要是ADSL和FTTXLAN两种方式。未来随着光纤和无线接入技术的不断发展，宽带无线接入也将成为宽带接入的重要手段。在提供接入服务时，运营商应积极推动IPv6接入业务。目前中国电信的CN2骨干网上已经全面支持IPv6协议，在今后的城域网和用户接入网的部署和改造过程中，也将逐步过渡到IPv6。尽早地开展IPv6宽带接入业务，可以积累运营经验。利用IPv6的海量地址、内置安全协议和移动性的特点，开展基于IPv6的企业应用和家庭网络应用。1.1.2 语音类业务语音业务一直是电信运营商的基础性业务。然而随着VoIP技术的不断发展，基于互联网的语音通信应用（如Skype等）已经对运营商的传统话音业务造成巨大冲击。而且从长远来看，网络IP化和终端智能化是未来通信的两大特点，可以预计VoIP将成为一种必然的趋势。因此，传统的电信运营商应密切关注语音技术发展和市场动态，适时地进行技术改造，在保持自身优势的同时，争取占有更大的市场份额。NGI是基于IP协议的网络，基于此开展的VoIP语音业务有着与传统的PSTN网络语音业务截然不同的特点。依托NGI开展语音业务具有开放性、灵活性等特点，也有利于开展来电显示、呼叫转移、彩铃和一号通等各种语音增值业务。但与此同时，运营商要想在竞争中取得优势和领先地位，还必须在服务上体现高质量和高可靠性的特点。可以利用MPLS技术，开辟专门的IP通道和路由等方法来保证语音质量。不过VoIP业务自身的定位还需要进一步研究。它是否能够成为未来的基础电信服务提供方式，还是只作为电信增值业务，这其中包含的不仅是技术的问题，更多的还源于国家对基础电信业务的一些要求，包括安全和普遍服务义务承担等因素。很多问题在没有得到解决之前，VoIP业务还只能作为宽带网络的一种增值服务，距离获得号码资源、提供普遍服务还有一段距离。1.1.3 视频类业务宽带接入的发展需要宽带业务的大力支持，挖掘新的用户增长方式和业务量增长方式成为发展宽带接入时需要关注的重要问题。集语音、视频和数据通信等增值业务特征为一体的IPTV正是适合这一需求的业务。IPTV可以提供的业务种类主要包括电视类业务、通信类业务以及其他各种增值业务。具体来说，电视类服务是指与电视业务相关的服务，如广播电视、点播电视、个人视频录制等；通信类服务主要指基于IP的语音业务、即时通信服务、电视短信等；增值业务则是指电视购物、互动广告、在线游戏等。IPTV融合了传统电视和互联网的相关特性，扩展了电信业务的应用范围。由于传统语音业务相对饱和，单纯的数据业务又缺乏足够的吸引力，部署IPTV业务能够为用户提供全新的应用，为运营商提供新的利润增长点，是增强竞争能力、提高盈利能力的有效途径。另一方面，电信运营商提供宽带接入业务的同时进行包含语音、视频业务在内的业务捆绑，能够增加用户的ARPU值，提升用户的忠诚度。有关研究表明，提供三种业务捆绑比仅提供单项业务可以降低50的离网率，比提供两项业务捆绑降低25的离网率。1.1.4 安全类业务安全性是NGI业务发展的另一个重要方向。互联网本身的发展是开放性和共享性不断扩展的结果，但随着互连程度的不断扩大，网络的重要性和对社会的影响也越来越大。如果网络安全问题得不到有效解决，会影响整个宽带产业的发展。比如垃圾邮件占用了宝贵的带宽资源，造成网络服务质量下降；黑客的攻击使得网速过慢，网站瘫痪，严重的可能导致网站的关键信息遭受损失；网络拒绝服务攻击会造成网络流量急速提高，导致网络设备崩溃、网络线路不堪重负等。因此运营商在提供宽带接入业务的同时，以VPN业务为代表的安全类宽带增值业务将是非常有发展价值的NGI业务。在日本，运营商已经开始了提供IPv6的安全性商用服务，如NTT提供基于m2mx平台的家庭和企业网络安全应用；上海电信携手趋势科技建立信息安全中心，向客户推出了“安全宽带”套餐业务。这些都为NGI安全业务提供了很好的应用示范，运营商可以借鉴这些有益的尝试，在NGI推出更多更好的安全类业务。1.1.5 消息类业务以文本为主的短消息应用取得了巨大成功，而增加了多媒体特色的信息服务能够进一步丰富业务形式和内容。作为一种占用系统资源相对较少的增值类业务，消息业务有着灵活多样的应用空间。比如当用户的邮箱中有新邮件到达的时候，运营商可以通过一条短消息告知用户；用户到达一个新地点时，可以通过短消息获得附近区域的停车场分布图；用户的家庭摄像头捕捉到了异常情况后，也可以通过消息提供报警服务等。这种与其他业务应用相结合产生的价值不仅很好地满足了用户的要求，也为运营商的增值业务提供了良好的市场拓展空间。1.1.6 远程控制类业务这类业务主要指用户通过固定或者移动终端对家庭或者办公设备进行远程控制，从异地对这些设备进行功能操作。这类业务应用随着家庭网络技术和远程控制技术的成熟，逐渐成为另一个有发展潜力的领域。在日本，运营商已经通过视频业务为用户提供可操作、互动的家庭监控应用。我国广东的部分地区，通过视频监控宝宝的活动情况，让父母与孩子的距离感觉近在咫尺，这类服务非常受欢迎。未来远程监控还可进行对人类所不能到达地区的自动监控，如深水机器人勘测操作，甚至公安部门的更具隐蔽性的反恐监控。在家庭网络和行业应用中远程监控业务为用户提供了更加方便、快捷和安全的控制手段。1.2 IPv6时代业务运营模式分析在引入IPv6后，宽带网络在运营模式方面将呈现一些新的特点。1.2.1 基于IPv6的宽带接入业务从上层（增值）业务的用户需求出发，充分利用IPv6的海量地址、自动配置等优势，基于ADSL、FTTx、WLAN、WiMAX等多种接入手段，为用户提供的一种优质、安全、先进的网络接入服务，主要面向企业和个人用户，网络架构如图1所示。该种业务具备以下功能和特点：为客户分配大量的公有IPv6地址，彻底解决用户对于地址的需求；具有地址的自动配置和网络即插即用功能；充足的带宽及基于用户需求的策略化的带宽管理；网络病毒实时监控功能；支持统一账号下的多种接入方式；业务使用和费用情况及时查询。图1 基于IPv6的宽带接入1.2.2 基于移动IPv6的业务通过给用户分配惟一的可移动IPv6地址，用户在任何地方都能够享受所订购的信息服务。行业用户能够通过这些IPv6地址对移动到异地的设备进行跟踪和维护。此种业务也主要是面向企业和个人用户，网络架构如图2所示。该种业务具备以下功能和特点：通过给用户分配惟一的IPv6地址，结合移动IPv6的特性，使用户在任何地方都能够享受到用户订购的信息服务；对于企业用户而言，申请了IPv6接入业务以后，可以对其出售的设备进行远程管理和售后维护。如对于家电设备，设备商能够利用IPv6地址，通过网络进行维护和设置；对于购买特定游戏或AV设备的用户，通过本项服务，制造商或者内容提供商可直接将内容发给注册了个人地址的用户；对某些行业用户，如物流、安全、仓储，通过移动IPv6机制对传感器等设备进行统一的管理和控制，控制信息的收集方式，提高管理效率，从而改善管理和服务水平。图2 基于移动IPv6的业务1.2.3 基于IPv6IPSec的远程接入业务本项业务基于IPv6IPsec协议，为企业用户提供安全的远程接入服务，使企业员工从异地访问企业内部网络资源时，能够有一个安全的接入方式，保证企业重要信息的完整性和私密性。网络架构如图3所示。该种业务具备以下功能和特点：图3 基于IPsec的远程接入业务当企业员工从异地登录企业网络时，能够提供安全可靠的网络登录认证服务；企业员工使用这种接入方式，传输的信息能够得到安全保护，并且可以根据其实际需求来选择不同级别的安全机制；企业员工在异地可以使用由企业统一分配的IPv6地址进行通信。1.2.4 基于IPv6IPsec的安全VPN业务通过预设的共享密钥或者数字签名体系，利用IPv6的IPsec协议栈，用户可以实现任意两个终端或者任意两个网络之间的加密通信。用户可以定义哪些终端之间的通信需要保护以及终端之间的哪些业务流量需要保护。通过预定义的认证算法和加密算法，保护了用户通信数据的私密性和完整性，主要面向企业和个人。网络架构如图4所示。该种业务具备以下功能和特点：由于IPv6的海量地址空间，用户通过公有的IPv6地址可以方便地建立起端到端的IPsec通道；运营商可以通过为用户提供Portal操作界面的方式，让用户自由定义加密保护的策略，比如使用何种认证和加密算法；使用这项业务后，用户终端之间所有通信都经过加密保护，这种保护使用户能够确保自己的数据在传输过程中的完整性和私密性；对于企业用户，IPsec VPN业务可以在企业的出口路由器之间实现，也可在企业内部不同终端之间实现；对于家庭用户，IPsec VPN业务可以在家庭网关上实现，降低了对用户的技术要求。图4 基于IPsec的安全VPN业务1.2.5 基于IPv6差分服务的triple-play业务通过统一的IPv6网络接入，为家庭网络中的所有具有IP协议栈的设备分配IPv6地址，提供给用户语音、视频和数据等多种不同服务质量的综合性业务，通过统一的账号实施计费。主要面向个人和家庭用户，网络架构如图5所示。该种业务具备以下功能和特点：本项业务通过光纤、LAN或ADSL等方式提供统一接入；对具有IP协议栈的设备进行IPv6地址等各种网络参数配置；同时提供音频、视频和数据类业务，用户可以进行业务定制；不同业务的服务等级根据实际需要可以进行选择和配置；提供统一的用户认证和计费功能，用户对使用的业务和费用可以进行实时查询；通过家电设备的IPv6地址，可以远程对设备进行控制。图5 基于IPv6差分服务的triple play业务2 国内外下一代互联网试验网浅析下一代互联网的协议早已制定，可是距离实际的应用还有很长的路要走。这主要是因为，一方面现在的互联网上应用十分丰富，投入到一个新的网络中，重新开始无疑是非常艰难的；另一方面下一代互联网上业务还没有完全成熟，在下一代互联网的环境中进行业务的部署还需要在实践中探素。可是，互联网上地址空间日渐匮乏，最终将阻碍互联网的发展，过渡到下一代互联网是发展的必然，我国在下一代互联网的实践中处于较为领先的地位。下面对国外与我国下一代互联网试验网进行简要的介绍。2.1 国外下一代互联网试验网的状况自1996年10月，美国34所大学和相关组织的代表提出下一代互联网（主要指基于IPv6的网络）的研究计划以来，世界各国纷纷制定相应的计划、投入相应的经费进行下一代互联网相关技术和应用的研究工作。IPv6试验网在IPv6的研究和发展过程中发挥了重要作用，它不仅为厂商和网络设计师提供一个大范围的实验平台来测试软件、网络配置、设计并且熟悉和理解IPv6协议，而且还有力地推动着下一代互联网（NGI）的发展。2.2 全球性的试验网6BONE6bone是世界上成立最早也是迄今规模最大的全球范围的IPv6示范网，1996年8月由IETF组织创建。到2002年，6bone的规模已经扩展到包括中国在内的57个国家和地区，连接了近千个站点，成为IPv6研究者、开发者和实践者的主要平台。6bone被设计成全球性层次化的IPv6网络，它包含伪顶级（1级）穿越服务提供商，伪二级（2级）穿越服务提供商和伪站点级组织。伪顶级提供商是全世界互连的组织。顶级提供商使用BGP4的IPv6扩展协议相互通信。二级提供商同样使用BGP4连接到本地的顶级提供商，站点级组织连接到二级提供商。站点级组织可以使用静态路由或者BGP4连接到二级提供商。6bone并不是一个独立于IPv4互联网的物理网络，而是利用隧道技术将各个国家和地区组织维护的IPv6网络通过运行在IPv4上的Internet连接在一起。目前6Bone网络正致力于向实现非隧道的IPv6本地化移植。最初，6bone侧重于测试IPv6协议及应用，现在该实验网的实验重点已经转移到IPv4向IPv6的过渡和运营模式等方面的研究。6bone的运营采用基于RFC2471（IPv6 测试地址分配）定义的原则。2.3 欧洲下一代互联网试验网2000年1月，由欧盟第5框架创建的6INIT试验网的创建的目标是促进欧洲IPv6网的多媒体和安全的服务。6INIT包括12 个合作机构（BT 、Berkom 、6WIND、Ericsson、Telebit、Telscom、Telia、Netmedia、Intracom、UoS 等）。6INIT的外部IPv6网络通过TelebitTBC2000 连接，内部的单播和组播路由在FreeBSD 3.5 PC路由器上实现。而主机采用基于Linux、Windows 2000、Solaris 8、FreeBSD3.5 的IPv6 客户端。目前，试验床中已开发了Mobile IPv6、SIP for VoIP 、IPv6 QoS/VPN （IPsec ）、IPfw 过滤、KAME PIM-SM for multicast 等应用，且该试验床已经实施了一些核心服务，如IPv6 防火墙 (FreeBSD IP过滤器)、E-mail(sendmail, fetchmail)和Web(Mozilla, MS IE5, Apache)等应用 。2002年1月欧洲同时启动了两个为期3年的IPv6研究和实施计划：6NET和Euro6IX试验网。在6NET计划中，将至少有11个国家级的研究和教育网络在速率高达2.5Gbit/s的链路上建立纯IPv6网络。建立6NET网的目的是为了引入、测试新的IPv6服务和应用程序；测试将IPv6网络和现有IPv4体系结构综合在一起的过渡策略；对IPv6网络下的地址的分配、路由和DNS操作进行评估；促进IPv6技术的快速发展。2.4 日韩下一代互联网试验网2000年9月日本政府把IPv6技术的确立、普及与国际贡献作为政府的基本政策公布；11月将现有网络推进过渡到IPv6网络作为“IT基本战略“中的重点政策“超高速网络建设和竞争政策”的具体目标。2001年3月在e-Japan重点计划中，明确设定在2005年完成互联网向IPv6的过渡，投巨资支持IPv6，全面部署实施IPv6的网络环境。日本政府为了发挥官产学研组织的作用，早在1988年成立的互联网及广域IP网的产学研联合研究开发组织WIDE，且该组织发展成一个国际性IPv6研究组织。2001年在日本政府的支持下，又成立了另一个官产学研组织-IPv6普及及高度化推进协会（IPv6 Promotion Councilof Japan），旨在推动IPv6的产业化形成。日本政府还专款投入、重点支持了一些项目，包括下一代网络标准IPv6的制定：互联网信息家电（信息家电IPv6化）的研究开发；建立日本千兆比网（JGN）。韩国制定的IPv6的演进进程，共分四个阶段：第一阶段（2001年前）建立IPv6试验网，开展验证、运行和宣传工作；第二阶段（2002-2005）建立了IPv6岛，与现有IPv4大网互通，在IMT2000上提供IPv6服务；第三阶段（2006-2010年）建立IPv6大网，原IPv4大网退化为IPv4岛，与IPv6大网互通，提供有线和无线的IPv6商用服务；第四阶段（2011年-）演变成一个单纯完整的IPv6网。目前，韩国电信IPv6试验网其路由器设置为IPv6/IPv4双栈，同时使用IPv6DNS，其服务主要是基于BGP4 的网络交换服务，负责联接到4 个外部网络（如6TAP ）。2.5 美国的下一代互联网试验网从1996年起，美国开始了下一代互联网研究与建设。美国国家科学基金会设立了“下一代Internet”研究计划NGI，支持大学和科研单位建立高速网络试验床vBNS（Very High Speed Backbone Network Service），进行高速计算机网络及其应用的研究。1998年美国100多所大学联合成立UCAID（University Corporation for Advanced Internet Development），从事Internet2研究计划。UCAID建设了另一个独立的高速网络试验床Abilene，并于1999年1月开始提供服务。MCI WorldCom于1995年与美国国家科学基金会（NSF）合作开发了VBNS业务，自1997年开始提供IPv6隧道，1998年推出本地IPv6（nativeIPv6），1999年开始提供产品的ARINIPv6网络地址。VBNS提供的是一种半商务性的业务。2003年10月，包括思科、3Com等在内的数家技术巨头宣布推出了北美最大的、基于新型Internet地址系统的网络“MoonV6”。基于IPv6的下一代Internet技术的“MoonV6”网络，是北美IPv6特别工作组（NAv6TF），新罕布什尔大学互操作实验室（UNH-IOL），JointInteroperabilityTestingCommand，美国国防部的一些机构和Internet2合作完成的重要成果。2.6 我国下一代互联网试验网我国目前已经建成了若干基于IPv6技术的试验床及实验网络。1998年，清华大学依托CERNET，建设了中国第一个IPv6试验床。1999年，CERNET在国内教育网范围内组建了IPv6试验床，八大地区网络中心全部加入，CERNET在试验床的pTLA（pseudoTopLevel Aggregation）地址范围内开始分配地址，同时进行了有关IPv6各种特性的研究与开发。2000年底，在国家自然基金委的支持下，“中国高速互联研究实验网络(NSFCnet)”项目启动，建设了我国第一个地区性下一代互联网试验网络。2001年该项目通过鉴定验收，下一代互联网研究引起了社会各界的高度关注。与此同时，国家“863计划”资助了CAINONET项目，依托中国教育和科研计算机网CERNET，由清华大学等单位建设和运行的大规模IPv6实验网络。 “十五”期间，国家自然科学基金、国家863计划均设立了大量相关的基础研究项目和关键技术开发项目。尤其是在国家计委的支持下，以“下一代互联网中日IPv6合作项目”为先导，开始了中国下一代互联网的工业性示范工程时代，该合作项目完成后，使用CERNET光纤传输资源，建成连接清华大学、华南理工、上海交大3家单位的广域高速IPv6试验网。同时，主干网与中日IPv6试验网国际线路互联，建成如图1所示的总体网络环境，为开展IPv6网络关键技术研究提供网络基础和实验环境。图2-1 中日下一代互联网中日IPv6合作项目示意2002年8月国务院正式启动了“中国下一代互联网示范工程（CNGI）”。根据CNGI的规划，我国将在2005年底建成一个覆盖全国的IPv6网络，成为世界上最大的IPv6网络之一。CNGI项目在建设过程中综合了运营商、设备制造商和科研机构等多方面的力量，使得它不单纯是一个科研性质的实验网，更是一个面向商用的示范性网络。CNGI不仅是对IPv6网络技术和组网方案的一种实验和检验，而且需要对使用IPv6的新互联网上的业务模式和运用模式进行进一步的探讨和尝试，这种面向商用的建网思路是CNGI有别于一般小规模实验网络的意义所在。CNGI项目的最终成果绝不仅仅是一个新技术研究性质的试验网，“推动基于下一代互联网的新技术产业化发展，建成一个新技术研发、试验、推广、盈利的良性循环网络”才是它的最终目标。CNGI项目2002年3月完成了“中国下一代互联网示范工程CNGI实施方案建议”，同年8月国务院批复同意国家发改委“关于推动我国下一代互联网发展有关工作的请示”，正式启动“中国下一代互联网示范工程CNGI”。这一项目的实施不仅涉及资金巨大，更重要的是它表明我国政府对以IPv6为基础的下一代网络建设的高度重视与大力支持。根据CNGI的规划，我国将在2005年底建成一个覆盖全国的IPv6网络，成为世界上最大的IPv6网络之一。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，我国将成为以IPv6为基础的下一代网络领域的领先国家。CNGI的主要研究内容包括以下三部分：1）建设下一代互联网示范网络，包括：核心网（含城域网）建设；驻地网（CPN）建设；国际联网和交换中心；2）网络技术的开发试验和重大应用示范，包括：网络关键技术开发试验；网络中间件技术开发试验；重大网络应用示范；3）关键设备和软件开发及推广应用，包括：关键软、硬件网络设备产业化；重大应用产业化。目前，世界范围内对于下一代互联网还在进行学术层面的探索时，我国政府提出的CNGI项目无疑是十分高瞻远瞩的，CNGI的建成不仅可以继续学术上的研究，还把设备制造商、运营商、各大科研院所结合在一起，构成一个完整的支撑体系，向用户提供基于下一代互联网的各类业务。应该说CNGI项目会是我国IT产业更上一个台阶的新契机。3 移动IPv6安全及发展前景分析移动IP（Mobile IP）是在IP网络上提供移动功能的解决方案，该协议设计的初衷是在网络层提供主机的移动性，使得主机在IP网络上的移动对于高层协议保持透明。移动IP一经推出，就被3G标准技术框架所采纳，并随着3G网络的部署得到了推广。从IPv4到IPv6，移动IP技术自身发生了革命性的变化，解决了诸多问题。其次，IPv6协议具备的新特性，如“地址自动配置”、“邻居发现”等，为主机移动提供了更好的支持。另外，IPv6简化了重组的步骤，对未来Internet移动性也有极大的促进。在移动IPv6中，移动节点由家乡地址（HoA）惟一标识并为高层协议所见。当移动节点移动到外部网络时，它会在外部网络获得一个转交地址（CoA），该移动节点的转交地址和家乡地址的映射关系称为一个“绑定”。移动节点通过绑定注册过程把自己的转交地址通知给位于家乡网络的家乡代理（HA）。此后，对端通信节点（CN）发往移动节点的数据首先被路由到家乡代理，随后家乡代理根据移动节点的绑定关系，将数据包间接传送（隧道封装）给移动节点。为了优化三角路由问题，移动IPv6也允许移动节点将绑定信息发送到对端通信节点，来实现移动节点和对端通信节点数据的直接传送，而无需经过家乡代理。图1显示了移动IPv6的工作原理。图3-1 移动IPv6原理示意图移动IPv6的基本工作流程仅针对理想状态的互联网，并不考虑安全方面的问题。实际网络中，由于移动性的引入必然会使网络面临新的安全问题，这种威胁包括拒绝服务攻击、重放攻击以及信息窃取攻击等。移动IPv6在具体实施中必须谨慎对待这些安全隐患，避免网络引入移动性后安全级别下降。3.1 安全问题分析移动IP必须面对所有无线网络所固有的安全威胁，移动性的引入使得移动IP比有线的Internet更加脆弱。此外，移动IPv6协议通过定义移动节点、家乡代理和通信节点之间的信令机制，在实现了三角路由优化的同时，也引入了新的安全威胁。如果攻击者在移动节点、家乡代理和通信节点之间的通信链路上截获并篡改相关的信令报文，那么它就能够轻易的发起攻击。目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。3.1.1 拒绝服务攻击拒绝服务攻击是指攻击者为阻止合法用户获得正常服务而采用的攻击手段。在移动IPv6中，攻击者可以通过如下手段达到上述目的：（1）攻击者发送大量地址绑定更新消息来消耗家乡代理和通信节点的资源，从而导致绑定缓存表溢出或者是无法及时处理合法用户的绑定更新报文；（2）恶意主机把Internet上服务器的IPv6地址作为大量移动节点的转交地址，发送伪装的绑定更新消息给对端通信节点，引发大量的流量发往受害服务器，导致分布式拒绝服务攻击；（3）攻击者冒充移动节点，使用移动节点的家乡地址发送绑定更新消息，伪装节点的移动状况，阻断合法用户的正常通信；（4）在移动节点和家乡代理通信路径上的攻击者通过篡改家乡地址选项域值，将通信节点的流量重定向到第三方节点，阻断合法用户的正常通信；（5）在移动节点和通信节点路径上的攻击者通过篡改路由扩展头域值，将通信节点的流量重定向到第三方节点，阻断合法用户的正常通信。3.1.2 重放攻击重放攻击是指攻击者将一个有效的注册请求消息录取并保存起来，等待一段时间之后再重新发送这个消息来注册一个伪造的转交地址，从而达到攻击的目的。在移动节点和通信节点通信路径上的攻击者通过这种方式将数据流重定向到第三方实体。3.1.3 信息窃取信息窃取可以分为被动监听和主动会话截取。除了上述主要的安全威胁之外，移动IPv6还可能遭受到其它威胁，如攻击者可以冒充通信节点给移动节点发送绑定错误消息，当家乡网络重编号时，家乡代理可以通过设置家乡网络前缀的生存时间来实现位于外部网络的移动节点更新自己的家乡地址等。如果恶意主机修改家乡网络IPv6前缀的生存时间或者干脆修改前缀的内容，可能引起家乡代理服务所有的移动节点无法到达，或者窃取移动节点到家乡代理的流量，或者引起拒绝服务攻击。3.2 安全机制探讨互联网协议设计的一条原则是新协议的引入不为网络带来新的安全威胁，如果存在安全隐患，那么协议本身必须要设计相应的安全机制来克服。移动IPv6协议也不例外。对于重放攻击，移动IPv6协议在注册消息中添加了序列号，并且在协议报文中引入了时间随机数。移动节点和家乡代理之间可以建立IPsec安全联盟来保护信令消息和业务流量。3.2.1 移动节点和家乡代理间的安全 家乡代理通常由运营商部署及运维管理，而移动节点通常也是运营商的可控单元（可通过EMSI或CA证书等手段对身份进行验证控制），可以假设二者处于同一可信任域。移动IPv6使用IPsec技术来实现移动节点和家乡代理之间的信令信息保护。使用IPsec协议可以提供对数据源验证、数据完整性、数据内容的机密性、抗重播保护以及有限的数据流机密性保证。移动IPv6协议利用IPsec的传输模式的ESP协议来保护从移动节点到家乡代理之间的信令消息。3.2.2 移动节点和通信节点间的安全往返可路由过程的目的在于通信节点必须确认移动节点对于它宣称的家乡地址和转交地址是可达的。只有得到这个确认之后，对端通信节点才会接受来自移动节点的绑定更新消息，而把以后的流量转发到移动节点新的转交地址。RRP过程的开始是由移动节点同时发送HoTI和CoTI消息，HoTI消息是经过移动节点的家乡代理发送到对端通信节点的，对端通信节点收到这个消息后，回应一个HomeTest消息，CoTI消息是由移动节点直接发送给对端通信节点的，包含了一个Care-ofTestCookie。对端通信节点收到这个消息后，回应一个Care-of Test消息，移动节点收到了Home Test消息和Care-of Test消息后，往返可路由过程就已经完成了，其过程如图2所示。移动节点将收到的Home Cookie和Care-of Cookie作为哈希函数的输入产生会话密钥，并用此密钥来认证绑定消息，接下来移动节点就拥有了足够的信息来认证自己可以向对端通信节点发送绑定更新请求消息。如果对端通信节点验证了绑定更新消息确实为合法移动节点发送，对端通信节点就会创建新的绑定列表选项，确认这个绑定更新。图3-2 往返可路由过程示意尽管MIPv6中规定了以IPSec来进行MN与HA之间协议消息保护，此外对于数据消息也可以用IPSec进行保护。但是在IPv6中真正启用IPSec的很少，MIPv6中应用IPSec就更少了。一方面是由于各系统对IPSecforIPv6的支持还不到位，另一方面IPSec的应用主要适用于IPSecVPN之类的公司用户。对于个人用户，IPSec的配置还比较繁琐。如何能使IPSec易于配置，广泛应用起来，这也是移动IPv6要解决的一个问题。此外，对于如何验证MN与HA之间的协议消息，也值得进一步研究。安全问题仍然是MIPv6的研究热点之一。3.3 移动IPv6前景展望下一代网络将是数据业务和移动业务充分融合的产物，并在这个融合的基础上日益完善，形成承载网以IPv6为演进方向，业务网以NGN/IMS为业务平台，提供无处不在的、多元接入方式的、无缝移动的业务。在这个发展趋势下，移动IPv6作为网络层切换的优选解决方案，可以有效保障无缝漫游的业务属性有望得到规模应用。整个业界没有任何人否认移动IPv6是一项优秀的技术，但能否取得规模应用不只取决于技术自身的优略，首先还需要IPv6网络的部署、IPv6业务的普及应用以及成熟的业务环境的支撑。IETF对移动IPv6技术进行了卓有成效的标准化工作，经过多达24版的草案讨论，终于在2004年6月形成了“RFC3775-IPv6移动性支持”。2000年2003年，Connectathons、ETSI等机构一年一度组织了移动IPv6互操作测试，使得不同供应商互通性得到了较全面的验证。从2005年6月起，IPv6论坛也启动了“Pv6Ready”二期认证，主要是增加了对移动IPv6和IPSec的认证，大大推动了移动IPv6设备的规范化发展。中国通信标准化协会也加强了